Son cada vez más las empresas de todo el mundo que experimentan transformaciones digitales, lo que significa que se almacenan y se accede a más datos electrónicamente que antes. En este contexto, la confianza cero ha demostrado ser un marco eficaz capaz de abordar los numerosos desafíos asociados a los entornos en la nube o híbridos y a los empleados remotos. Sigue leyendo para saber más sobre cómo las organizaciones pueden usar el modelo de seguridad de confianza cero para reducir las vulnerabilidades, protegerse de las amenazas y controlar el uso y el acceso a los datos entre los empleados.
¿Qué es confianza cero?
Confianza cero redefine los procesos para asumir que cada usuario no es confiable al comienzo de cada interacción. De este modo, los sistemas autentican y comprueban automáticamente las autorizaciones de un usuario antes de otorgarle acceso a cualquier aplicación, base de datos o dispositivo de la empresa. Además, el estado de autorización de cada usuario se valida continuamente mientras usa las aplicaciones y los datos.
A medida que más empresas y gobiernos operan en entornos híbridos y en la nube, aumenta la necesidad del marco de confianza cero. Estos entornos hacen que a las empresas les resulte cada vez más difícil determinar a quién y a qué se debe confiar el acceso a las redes y aplicaciones. Por este motivo, la implementación de una arquitectura y una estrategia que no tengan que presuponer la confianza del usuario se está convirtiendo en algo habitual.
Un aspecto importante es el flujo de trabajo y la facilidad de uso. En lo que respecta al rendimiento, el marco adecuado permite que todos los procesos de validación se desarrollen rápidamente en segundo plano, lo que minimiza las interrupciones para el usuario y mejora en gran medida la seguridad de la empresa.
En ocasiones, el término modelo de seguridad de confianza cero se usa indistintamente con términos similares o relacionados, como arquitectura de confianza cero, arquitectura de red de confianza cero, acceso a la red de confianza cero o seguridad sin perímetro.
¿Cómo funciona confianza cero?
El modelo de seguridad de confianza cero se basa en una serie de principios clave diseñados para identificar de forma confiable a los usuarios y sus intenciones. Entre los principios de confianza cero se incluyen los siguientes:
Los atacantes están en todas partes
Si asumimos que los piratas informáticos existen tanto dentro como fuera de la red, se deduce que no se puede confiar de forma predeterminada en ninguna máquina o usuario.
Los endpoints no son de confianza
Si un dispositivo tiene controles de seguridad adecuados, la administración de los endpoints los validará. La seguridad de los endpoints debe extenderse también al autenticador para garantizar que solo se usan dispositivos aprobados y que el material de las claves privadas está debidamente protegido.
Los usuarios deben recibir el acceso con menos privilegios
Si a los usuarios se les da solo el acceso que necesitan, se minimiza la exposición entre los usuarios y las secciones sensibles de la red. Este enfoque es diferente al de “confiar en todos los que están dentro” o “confiar pero verificar”.
Uso de la microsegmentación para mantener la seguridad
La microsegmentación consiste en dividir los parámetros de seguridad en regiones más pequeñas en secciones separadas de la red, en función de la clasificación de los datos, con accesos independientes. Esto garantiza que los usuarios no puedan acceder a distintas zonas sin una autenticación adicional.
El control de acceso minimiza la superficie de ataque de la red
Si una organización establece controles estrictos sobre el acceso de los usuarios y los dispositivos, minimiza la superficie de ataque de la red. Es importante controlar la manera en que los dispositivos acceden a la red para asegurarse de que cada uno de ellos esté autorizado. El control de acceso debe proteger los sistemas clave proporcionando el mínimo privilegio necesario para realizar una tarea.
La autenticación de varios factores o MFA es esencial
Los usuarios son validados a través de medidas de autenticación estrictas antes de que se les conceda el acceso. La autenticación de dos factores (2FA) se considera más débil que la MFA y puede comprometer la confianza cero al autenticar por error a los usuarios.
La autenticación fiable requiere tres elementos clave
En primer lugar, no debe basarse únicamente en secretos compartidos o claves simétricas, como códigos, contraseñas y preguntas de recuperación. En segundo lugar, debe usar hardware para impedir la suplantación de identidad (phishing) y la falsificación de credenciales. Y por último, debe ser escalable y fácil de usar. No siempre lo que se denomina autenticación de varios factores cumple con estos tres criterios.
¿Cómo se implementa la confianza cero?
Un marco de confianza cero ayuda a las empresas a operar de forma segura y eficaz, incluso cuando los usuarios y los datos están dispersos por varios lugares y entornos. Sin embargo, no existe un enfoque único para la implementación del marco, por lo que la mayoría de las empresas comenzarán a planificar el proceso de adopción dividiéndolo en tres etapas principales.
1. Visualizar la organización
El primer enfoque para establecer un modelo de seguridad de confianza cero es que una organización visualice todos sus componentes y la forma en que se conectan. Esto requiere una evaluación exhaustiva de los recursos de la organización y de la forma en que se accede a ellos, junto con sus riesgos. Por ejemplo, es posible que el departamento financiero necesite acceder a una base de datos que contenga datos privados de los clientes, y las vulnerabilidades de esa conexión suponen riesgos inherentes.
Este proceso de visualización y evaluación debe ser continuo, ya que los recursos de una organización, y la necesidad de acceder a dichos recursos, evolucionarán continuamente a medida que la organización crezca. Del mismo modo, la importancia y el riesgo asociados a estos componentes también cambiarán. Por lo tanto, las organizaciones que tengan previsto implementar una red de confianza cero deben empezar por lo que suponen que será más importante y lo más vulnerable a medida que comience la adopción del marco.
2. Mitigar riesgos y preocupaciones
Una vez que las vulnerabilidades potenciales, junto con todas las amenazas posibles que podrían aprovecharlas y las rutas que podría seguir un atacante, se identificaron en la etapa anterior, la etapa de mitigación aborda las preocupaciones en orden de prioridad.
Durante esta etapa, una organización establecerá procesos y herramientas que ayudarán a detectar automáticamente nuevas vulnerabilidades y amenazas. También debe haber procesos que detengan automáticamente las amenazas o, cuando eso no sea posible, mitiguen el impacto del resultado probable (por ejemplo, mediante la limitación de los datos que quedarán expuestos) en la medida de lo posible.
3. Optimizar ejecución
Durante la tercera etapa de implementación del marco de confianza cero, las organizaciones se dedicarán a ampliar sus procesos y protocolos para incluir todos los aspectos de TI. La velocidad de este despliegue dependerá totalmente de la complejidad de la organización y de los recursos que invierta en este proceso.
Lo más importante es que, a medida que el marco se despliega para incluir más aspectos de la infraestructura de la organización, se somete a pruebas de rutina para garantizar su eficacia y facilidad de uso. Las organizaciones que no prioricen adecuadamente la experiencia del usuario a la hora de implementar marcos de seguridad como confianza cero terminarán enfrentándose a incumplimientos y a una reducción de la productividad a escala.
Beneficios de confianza cero
Un marco de confianza cero aumenta la seguridad de las organizaciones que atraviesan una transformación digital y ayuda a las organizaciones preparadas para el futuro que pretenden adoptar y permanecer en la nube. Esto hace que el modelo de confianza cero sea muy importante para las empresas de software como servicio (SaaS), así como para las empresas en crecimiento de todas las industrias. Es una solución muy beneficiosa para las organizaciones que necesitan incorporar trabajadores remotos o mantener un entorno de múltiples nubes. Las principales ventajas incluyen:
Control de acceso eficaz
Mediante una combinación de seguridad de endpoints, verificación de identidad, controles de mínimo privilegio, microsegmentación y otras técnicas preventivas, el modelo de confianza cero disuade a los atacantes y limita su acceso a las aplicaciones, los datos y las redes. Esto lo convierte en uno de los medios más eficaces de control de acceso en las organizaciones.
Estrategia sin límites
Con el aumento del trabajo remoto en todo el mundo, crece el número de endpoints dentro de una red y la infraestructura se amplía para incluir servidores y aplicaciones basados en la nube. Esto hace que la tarea de supervisar y mantener un perímetro seguro sea más difícil. Un enfoque de confianza cero responde a este desafío mediante la incorporación de cualquier cantidad de dispositivos y usuarios con una seguridad igualmente eficaz.
Mayor conocimiento
Un modelo de confianza cero basado en la nube puede aumentar la visibilidad del tráfico de red, ya que los proveedores supervisan, administran, solucionan problemas, aplican parches y actualizan la infraestructura. El modelo debe incluir información sobre la higiene de la seguridad de los endpoints y los autenticadores.
Reducción del riesgo
Un modelo de confianza cero reduce la superficie de ataque de una organización mediante la restricción del acceso de los usuarios y la segmentación de la red. En consecuencia, el modelo reduce el tiempo necesario para detectar las filtraciones, lo que ayuda a las organizaciones a minimizar los daños y reducir la pérdida de datos.
Una experiencia de usuario más eficiente
Confianza cero puede mejorar la experiencia del usuario, ya que las políticas de acceso y las evaluaciones de riesgos pueden eliminar la necesidad de volver a autenticarse durante el día. Los mecanismos como el inicio de sesión único (SSO) y una MFA estricta reducen la necesidad de recordar contraseñas complejas.
Cumplimiento normativo
El marco de confianza cero permite el cumplimiento de las distintas normativas internas y externas. Al proteger a todos los usuarios, recursos y cargas de trabajo, el marco de confianza cero simplifica el proceso de auditoría y facilita el cumplimiento de las normas PCI DSS, NIST 800-207 y otras.
Casos prácticos de confianza cero
En el entorno actual, cualquier organización puede beneficiarse de un modelo de seguridad de confianza cero. Sin embargo, entre los ejemplos de casos prácticos tenemos las organizaciones cuya infraestructura incluye lo siguiente:
- Personal híbrido y remoto
- Sistemas heredados
- Dispositivos no gestionados
- Aplicaciones SaaS
Entre las principales amenazas que pretende controlar la confianza cero figuran las siguientes:
- Amenazas de personal interno
- Ataques a la cadena de suministro
- Ransomware
Confianza cero es importante para las organizaciones que se enfrentan a lo siguiente:
- Requisitos normativos industriales o de otro tipo
- Preocupación a la hora de contratar ciberseguridad
- Necesidad de tener en cuenta la experiencia del usuario, sobre todo en relación con la MFA
- Dificultades para atraer y retener a suficientes expertos en ciberseguridad, debido a la escasez de personal capacitado en todo el mundo
Cada organización se enfrenta a desafíos únicos en función de su sector industrial, enfoque geográfico, etapa de transformación digital y estrategia de seguridad actual. Sin embargo, el modelo de confianza cero puede adaptarse a las necesidades de cada organización.
Confianza cero y resiliencia cibernética
El cambio hacia el trabajo híbrido, junto con el aumento del volumen y la complejidad de las ciberamenazas, significa que la resiliencia cibernética es primordial para las organizaciones. La resiliencia cibernética implica un cambio de énfasis, desde la prevención de los ciberataques a la aceptación de su inevitabilidad en el mundo actual, pero con la garantía de que la organización está lo más preparada posible, y puede responder y recuperarse con rapidez y eficacia. El modelo de confianza cero desempeña un rol clave en el aumento de la resiliencia cibernética.
Uno de los obstáculos en la implementación del modelo de confianza cero es la cantidad de herramientas centradas en los datos y aisladas con las que tienen que lidiar muchas organizaciones. El lugar de trabajo híbrido ha provocado que los equipos de seguridad implementen nuevas soluciones para los endpoints, que se suman al conjunto existente de herramientas de protección de datos. Este volumen de herramientas (cada una de las cuales aplica reglas y análisis donde los datos confidenciales se cruzan con usuarios, aplicaciones y dispositivos) puede causar problemas al modelo de confianza cero. Esto se debe a que interrumpen el flujo de datos, reducen la visibilidad y aumentan el riesgo de configuraciones erróneas de las políticas.
La solución consiste en consolidar los procesos centrados en los datos en una plataforma de seguridad de datos (DSP). Una plataforma facilita un mayor control mediante el uso de un motor de políticas centralizado que abarca todos los procesos centrados en los datos. Integrar los procesos y garantizar la continuidad elimina las barreras, mejora la visibilidad de los datos y hace que el seguimiento sea más coherente. A su vez, esto permite una mayor automatización, operaciones simplificadas y más transparencia para los usuarios.
Una buena plataforma de seguridad de datos debe unificar el descubrimiento, la clasificación y el control de datos, y minimizar la pérdida y ofuscación de datos. Y debe habilitar una infraestructura que facilite a los equipos de seguridad la implementación del modelo de confianza cero en todo el lugar de trabajo híbrido de una organización.
Preguntas frecuentes sobre la seguridad de confianza cero
Las preguntas frecuentes sobre el modelo de confianza cero son las siguientes:
¿Cuáles son los principios de la seguridad de confianza cero?
El principio fundamental del modelo de confianza cero es “nunca confíes, verifica siempre”. La arquitectura de confianza cero aplica políticas de acceso basadas en el contexto (como el rol de trabajo y la localización del usuario, el dispositivo que usa y los datos que solicita) para evitar accesos inapropiados. El modelo de confianza cero está diseñado para proteger los entornos modernos y permitir la transformación digital mediante el uso de métodos de autenticación eficaces, la segmentación de la red, la prevención de los movimientos laterales y la aplicación de políticas de acceso mínimo.
¿Cuáles son los principales beneficios de un modelo de confianza cero?
La principal ventaja del modelo de confianza cero es que ayuda a reducir el riesgo empresarial. Esto se debe a que las aplicaciones y los datos no son accesibles ni están expuestos hasta que se autentica a un usuario y se le autoriza a interactuar con ellos. A su vez, esto mejora el control de acceso, ya que incentiva a las organizaciones a replantearse cómo se concede el acceso y a mejorar el control sobre el tiempo que dura la autorización para un caso práctico determinado. En general, los beneficios del modelo de confianza cero son muy superiores a los desafíos iniciales asociados a su implementación.
¿Cómo aplicar el modelo de confianza cero?
Al diseñar una arquitectura de confianza cero, los equipos de seguridad suelen centrarse en responder a dos preguntas: ¿Qué intentas proteger? ¿De quién intentas protegerlo? Las respuestas a estas preguntas determinarán la forma en que los equipos de seguridad apliquen el modelo de confianza cero. Muchas organizaciones implementan el modelo de confianza cero por etapas, empezando por los dispositivos más críticos o probando los que no lo son, antes de extenderlo a toda la red.
Productos recomendados
- Kaspersky Hybrid Cloud Security
- Kaspersky Managed Detection and Response
- Kaspersky Threat Intelligence
Otros artículos